【攻防世界】unseping (反序列化与Linux bash shell)

打开题目环境:

 1、进行PHP代码审计,通过审计得知需要用到PHP反序列化。找到输出flag的位置为 ping()函数。通过使用 exec() 函数来执行 $ip 并将结果保存在 $result 中,最终输出 $result。

2、接着寻找给 $ip 传参的位置,发现通过析构函数 _destruct() 来调用 ping()函数 并给 $ip 传参。

in_array($this->method, array("ping")) 检查 $this->method 的值是否等于 "ping"

若相等则调用 call_user_func_array(array($this, $this->method), $this->args); 它接受两个参数:第一个参数是一个包含类名和方法名的数组,第二个参数是一个包含方法参数的数组。在这个例子中,$this表示当前对象,$this->method表示要调用的方法名,$this->args表示传递给该方法的参数数组。我们只需要让 $this->method = "ping",让 $this->args等于我们想要执行的指令,这个函数就会调用 ping()函数 并将 $this->args 赋值给 $ip。

3、在进行反序列化时会自动调用PHP魔术方法_wakeup()函数。发现_wakeup()函数中调用了 waf()函数对 $ip 中的敏感字符  空格、|、cat、flag、ls等关键查询字符进行了过滤,我们需要考虑绕过的操作。


我们先对 $method 和 $args 进行赋值:

$method = "ping";  //在调用析构函数时调用 ping()函数
$args = array('c""at${IFS}f""lag_1s_here$(printf${IFS}"\57")f""lag_831b69012c67b35f.p""hp');

注意在 call_user_func_array()函数中的第二个参数 $this->args 的数据类型是一个数组。

在来分析对 $args 中的值的绕过方法:

首先对 $args 赋值:

$args = array('l""s');

通过在 ls 之间插入两个双引号来绕过 对关键字 "ls" 的过滤。

在 HackBar 中用 POST 方法进行提交,得到结果如下图:

使用 ls 查看当前目录下的文件夹和文件,发现文件夹 flag_1s_here 和php文件 index.php。flag很可能在 flag_1s_here中。

对$args重新赋值,查看 flag_1s_here 目录下的子文件:

$args = array('l""s${IFS}f""lag_1s_here');

${IFS} 是一个特殊的变量,用于定义 Bash shell 中字段分隔符的默认值。默认情况下,它的值为空格、制表符、和换行符。

利用 ls flag_1s_here 指令查看flag_1s_here 目录下的子文件,得到结果如下图:

发现了存储flag的文件,现通过再次改变 $args 的值进入 flag_1s_here 对这个文件进行查询。

$args = array('c""at${IFS}f""lag_1s_here$(printf${IFS}"\57")f""lag_831b69012c67b35f.p""hp');

关于 $(printf${IFS}"/57")的解释如下图:

cat flag_1s_here /flag_831b69012c67b35f.php 查看flag_1s_here目录下的flag_831b69012c67b35f.php文件。

执行结果如下图:

成功拿到 flag。


下图给出序列化脚本:

<?phpclass ease{private $method;private $args;function __construct($method, $args) {$this->method = $method;$this->args = $args;}}$test = new ease("ping", array('c""at${IFS}f""lag_1s_here$(printf${IFS}"\57")f""lag_831b69012c67b35f.p""hp'));//$test = new ease("ping", array('l""s${IFS}f""lag_1s_here'));$new = serialize($test);print(base64_encode($new));echo "\n";print($new);?>

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/797716.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

VMware Esxi安装群辉系统

群晖的网络存储产品具有强大的操作系统&#xff0c;提供了各种应用程序和服务&#xff0c;包括文件共享、数据备份、多媒体管理、远程访问等。用户可以通过简单直观的界面来管理他们的存储设备&#xff0c;并且可以根据自己的需求扩展设备的功能。总的来说&#xff0c;群晖的产…

配置vscode用于STM32编译,Debug

配置环境参考&#xff1a; Docs 用cubemx配置工程文件&#xff0c;用VScode打开工程文件。 编译的时候会有如下报错&#xff1a; vscode出现process_begin :CreateProcess failed 系统找不到指定文件 解决方案&#xff1a;在你的makefile中加上SHELLcmd.exe就可以了 参考…

云his系统源码 java源码saas模式 二甲医院his系统全套源码 数据库MySQL + MyCat

基层医院云HIS系统源码 一款满足基层医院各类业务需要的云HIS系统。该系统能帮助基层医院完成日常各类业务&#xff0c;提供病患挂号支持、病患问诊、电子病历、开药发药、会员管理、统计查询、医生站和护士站等一系列常规功能&#xff0c;还能与公卫、PACS等各类外部系统融合&…

JavaWeb--JavaScript Part 01

1. JavaScript概述 JavaScript&#xff08;简称JS&#xff09;是一种轻量级的、解释执行的客户端脚本语言&#xff0c;主要用于增强网页的交互性和动态性。它起源于Netscape的LiveScript&#xff0c;并在1995年发布时更名为JavaScript。尽管名称中包含"Java"&#xf…

leetcode.707. 设计链表

题目 题意&#xff1a; 在链表类中实现这些功能&#xff1a; get(index)&#xff1a;获取链表中第 index 个节点的值。如果索引无效&#xff0c;则返回-1。 addAtHead(val)&#xff1a;在链表的第一个元素之前添加一个值为 val 的节点。插入后&#xff0c;新节点将成为链表的…

CDN撞上云防护:技术视角下的差异与协同作用

引言 随着互联网业务全球化和服务需求的不断增长&#xff0c;内容分发网络&#xff08;CDN&#xff09;和云防护已成为现代企业保障网站性能、安全性和可靠性的关键工具。尽管两者在提升用户体验及确保服务连续性方面都有显著作用&#xff0c;但它们各自的核心技术和应用场景有…

2024年选择云渲染平台必须注意这5点!看完你就懂了

云渲染平台这么多&#xff0c;你是不是正在为选择哪一家而困惑&#xff1f; 随着云渲染技术的进一步发展&#xff0c;市面上的云渲染平台也越来越多&#xff0c;其中鱼龙混杂的也不在少数。对于设计师和设计公司来说&#xff0c;如何选择一个可靠且适合自己的云渲染平台成为一…

Godot 4 教程《勇者传说》依赖注入 学习笔记(0):环境配置

文章目录 前言相关地址环境配置初始化环境配置文件夹结构代码结构代码运行 资源文件导入像素风格窗口环境设置背景设置,Tileap使用自动TileMap 人物场景动画节点添加站立节点添加移动动画添加 通过依赖注入获取Godot的全局属性项目声明 当前项目逻辑讲解角色下降添加代码位置问…

CTF之GET和POST

学过php都知道就一个简单传参&#xff0c;构造payload:?whatflag得到 flag{3121064b1e9e27280f9f709144222429} 下面是POST那题 使用firefox浏览器的插件Hackbar勾选POST传入whatflag flag{828a91acc006990d74b0cb0c2f62b8d8}

论文阅读AI工具链

文献检索 可以利用智谱清言来生成合适的文献检索式&#xff0c;并根据需要不断调整。 谷歌学术 在Google Scholar中进行检索时&#xff0c;您可以使用类似的逻辑来构建您的搜索式&#xff0c;但是语法会有所不同。Google Scholar的搜索框接受普通的文本搜索&#xff0c;但是…

分组循环

子数组类问题 子数组&#xff1a; 子数组是指由原数组中连续的一段或多段元素组成的数组。如果有一个数组 A&#xff0c;那么它的子数组 B 是 A 中从某个起始位置 i 到终止位置 j&#xff08;满足 0 < i < j < A.length&#xff09;的所有元素组成的数组&#xff0c;即…

力扣热题100_链表_138_随机链表的复制

文章目录 题目链接解题思路解题代码 题目链接 138. 随机链表的复制 给你一个长度为 n 的链表&#xff0c;每个节点包含一个额外增加的随机指针 random &#xff0c;该指针可以指向链表中的任何节点或空节点。 构造这个链表的 深拷贝。 深拷贝应该正好由 n 个 全新 节点组成&a…

数据库同步方案Sqlserver

数据库同步方案探究 随着信息技术的迅猛发展&#xff0c;数据库在各个领域的应用日益广泛。而在分布式系统、云计算、大数据等场景下&#xff0c;数据库同步成为了一个至关重要的问题。数据库同步不仅关乎数据的完整性和一致性&#xff0c;还直接影响到系统的稳定性和性能。因…

乐健体育刷分----AI运动的站姿风车

一.前情提要 1.本文仅作学习参考不得用于其他不当途径&#xff0c;若有问题后果自负 二.操作 1.打开乐健体育 2.点击AI运动&#xff0c;找到站姿风车 3.摄像头对准以下图片&#xff0c;拖动图片或保持不动均可 &#xff08;站姿风车2组及以上效果更佳&#xff09;

完成产品兼容互认,用KubeBlocks可实现OceanBase集群管理

本文转载自云猿生聊技术&#xff08;CloudNativeDataTech&#xff09; 前言 KubeBlocks&#xff08;简称 KB&#xff09;在最新发布的0.7版本中&#xff0c;通过组件扩展&#xff08;Addon&#xff09;的形式新增了对OceanBase的支持功能。这一更新为企业级和非企业级用户提供…

计算机视觉入门:开启图像理解之旅

&#x1f9d1; 作者简介&#xff1a;阿里巴巴嵌入式技术专家&#xff0c;深耕嵌入式人工智能领域&#xff0c;具备多年的嵌入式硬件产品研发管理经验。 &#x1f4d2; 博客介绍&#xff1a;分享嵌入式开发领域的相关知识、经验、思考和感悟,欢迎关注。提供嵌入式方向的学习指导…

记某客户的一次无缝数据迁移

背景 客户需要将 Elasticsearch 集群无缝迁移到移动云&#xff0c;迁移过程要保证业务的最小停机时间。 实现方式 通过采用成熟的 INFINI 网关来进行数据的双写&#xff0c;在集群的切换恢复过程中来记录数据变更&#xff0c;待全量数据恢复之后再追平后面增量数据&#xff…

数据结构__顺序表和单链表

顺序表的改进 问题&#xff1a; 1. 中间/头部的插入删除&#xff0c;时间复杂度为O(N) 2. 增容需要申请新空间&#xff0c;拷贝数据&#xff0c;释放旧空间。会有不小的消耗。 3. 增容一般是呈2倍的增长&#xff0c;势必会有一定的空间浪费。例如当前容量为100&#xff0c;满了…

基于R语言地理加权回归、主成份分析、判别分析等空间异质性数据分析教程

原文链接&#xff1a;基于R语言地理加权回归、主成份分析、判别分析等空间异质性数据分析教程https://mp.weixin.qq.com/s?__bizMzUzNTczMDMxMg&mid2247600473&idx6&sn431e9408a42862d29fe4f4ef7703595b&chksmfa8208becdf581a820d9479d2aa61b88e96612c4ab72b0…

蓝桥-回文日期

目录 题目链接 ​编辑 ​编辑 什么是回文数&#xff1f;​编辑 代码 100%过 90%暴力 优化写的暴力代码 题目链接 2.回文日期 - 蓝桥云课 (lanqiao.cn) 什么是回文数&#xff1f; 代码 100%过 把那个90%的代码的循环限制条件去掉就行了&#xff0c;题目只是限制了N…